Правовое регулирование биометрии в РФ

В связи с бурным развитием техники и технологий в последние несколько лет происходит цифровизация многих сфер нашей жизни.

Это коснулось и способов идентификации личности – относительно недавно появились и начали широко использоваться биометрические персональные данные. Особый интерес к ним вызвало также развитие Единой биометрической системы и принятие Федерального Закона «О внесении изменений в отдельные законодательные акты Российской Федерации». С появлением такой системы некоторые государственные органы, например, Центральный Банк РФ, рекомендуют банкам активно внедрять ее в свою работу. Усилия были не напрасными: в 2017 году Сбербанк открыл в Москве первый банкомат, способный распознавать клиентов по лицу.

Преимущества использования биометрических данных как способа идентификации, с одной стороны, кажутся очевидными и неоспоримыми: нет необходимости постоянно носить с собой паспорт для того, чтобы, к примеру, открыть вклад в банке, взять кредит и т.д.

Несомненно, плюсов использования биометрии очень много, однако, присутствуют и значительные трудности, и риски. Главной проблемой является риск кражи и компрометации биометрических данных, с помощью которых впоследствии могут заключаться сделки с недвижимостью, осуществляться управление банковскими счетами и т.д. В настоящее время способы хранения и обеспечения безопасности персональных и биометрических данных не отличаются: данные так же хранятся в обычных базах, с которыми работают обычные системные администраторы с небольшой зарплатой. Поэтому говорить о существовании надежных способов защиты биометрии нельзя.

Риск внедрения и применения биометрических данных очень велик, и поэтому развитые страны ограничивают ее применение и использование. В частности, не так давно Европейский Совет по защите данных совместно с Европейским надзорным органом по защите данных признали, что системы распознавания лиц по биометрическим данным или по каким-либо отличительным чертам людей не должны использоваться в общественных местах. В 2020 году и в Нью-Йорке был принят закон, запрещающий использование таких систем в школах.

«Компрометация биометрических данных — это самое страшное, что может произойти. Если человек доверил экосистеме — неважно, частной или государственной — свои биометрические данные, и эта система не оправдала его доверия, то у человека в цифровом будущем сломана жизнь. Можно поменять пин-код на карточке, можно поменять паспорт, все что угодно, можно поменять фамилию и так далее. Но поменять биометрические данные... наверное, можно, но большинство людей, скорее всего, посчитает слишком большой издержкой изменить лицо или еще что-то», — считает А. Моисеев, замминистра финансов РФ.

Кроме этого, в связи с тем, что биометрические данные – явление довольно новое, в настоящее время практически отсутствует и соответствующее правовое регулирование и механизмы правовой защиты. Также возникает большое количество вопросов, связанных с их понятием и использованием. Что такое биометрические персональные данные в принципе? Что к ним можно отнести? Как регулировать сбор, хранение и применение биометрии?

Итак, что представляют собой биометрические персональные данные? Федеральный Закон «О персональных данных» определяет их как сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Однако сразу же возникает вопрос: какие особенности человека охватываются этим понятием и какие требования к ним предъявляются? К самым общеизвестным видам биометрических данных обычно относят, например, индивидуальные рисунки радужной оболочки глаза или папиллярные линии на пальцах. В науке к биометрии относят не только физические, но и поведенческие особенности, в частности походку. Таким образом, на сегодняшний день этот вопрос остается все еще дискуссионным и открытым, в силу чего для более четкого определения биометрических данных необходимо понимать, какие существуют критерии для признания тех или иных данных человека биометрическими. Основными требованиями являются: универсальность, уникальность, устойчивость. Другими словами, чтобы выступать в качестве способа распознавания личности, такая характеристика должна присутствовать у каждого человека, но отличаться у каждого из нас, оставаясь относительно неизменной со временем. Более того, такие параметры должны быть удобными для измерения, исходя, в том числе, из общественной приемлемости этой процедуры.

Количество таких характеристик довольно велико. Существуют ГОСТы по следующим методам: изображение отпечатка пальца, изображение лица, изображение радужной оболочки глаза, изображение сосудистого русла, геометрия контура кисти руки, динамика подписи, данные ДНК. Кроме этого, известны или обсуждаются некоторые другие: звучание голоса, изображение сетчатки глаза, тепловая карта лица, индивидуальный способ набора текста на клавиатуре.

Согласно Разъяснениям Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», к ним относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также другие физиологические или биологические характеристики человека, в том числе, изображение человека (фотография и видеозапись), которые позволяют устанавливать его личность. Таким образом, закрытого перечня данных, которые в РФ признаются биометрическими, пока не существует ни на законодательном уровне, ни в науке.

Следующим дискуссионным вопросом является правовое регулирование и обеспечение безопасности сбора, хранения и использования биометрических данных. Первое упоминание о биометрии содержалось в Федеральном законе от 15 августа 1996 г. № 114-ФЗ «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию», где подчеркивалась возможность паспортов граждан «содержать электронные носители информации с записанными на них персональными данными владельца паспорта, включая биометрические персональные данные». В принятом впоследствии Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных» включена статья 11, содержащая, как отмечалось выше, определение биометрических данных. Федеральным законом "О внесении изменений в отдельные законодательные акты Российской Федерации", принятом в 2017 году, были добавлены некоторые статьи о биометрии в законы, ранее не содержавшие никаких упоминаний о биометрии.

С одной стороны, законодательством установлены общие правила взаимодействия с биометрическими персональными данными. В частности, в силу ФЗ «О персональных данных», обработка биометрических персональных данных разрешается только с письменного согласия субъекта, хотя есть и некоторые исключения, связанные в основном с охраной порядка, борьбе с терроризмом и вопросами обороны. А Постановлением Правительства от 06.07.2008 №512 закрепляются требования к материальным носителям биометрических данных (обеспечение защиты, невозможность произвольного доступа к сведениям и др.).

Но, с другой стороны, единого законодательства и механизма обеспечения сохранности биометрических данных на данный момент не существует, в связи с чем очень велика вероятность незаконного получения доступа к таким данным неуполномоченных лиц, совершения различных злоупотреблений и даже преступлений. Этому способствует также, например, несовершенство систем хранения биометрии, отсутствие достаточно четкого и детального регулирования процесса сбора, обработки, хранения и передачи биометрических данных граждан.

На это обратил внимание и Президент РФ, В.В. Путин, на конференции по искусственному интеллекту и анализу данных Artificial Intelligence (AI) Journey 2021. Он подчеркнул, что «личная информация должна храниться в единой государственной системе биометрической идентификации». Государство, по его мнению, ответственно за ее хранение и обеспечение к ней свободного доступа банкам в зашифрованном виде, исключающем любое внешнее вмешательство и открытый доступ.

Таким образом, на сегодняшний день в России отсутствует детальное правовое регулирование биометрии, в связи с чем все еще сохраняется опасность в процессе их использования, существует почва для различных правонарушений и злоупотреблений. Однако процесс формирования единого, структурированного подхода к вопросу регулирования биометрических данных РФ все же уже начался, многие законодательные акты, касающиеся биометрии, сейчас находятся на стадии разработки и конкретизации.

Авторы: